ANALISA INTERKONEKSI INTERNET PROTOCOL SECURITY (IPSEC) PADA JARINGAN BERBASIS NETWORK ADDRESS TRANSLATION (NAT)

ANALISA INTERKONEKSI INTERNET PROTOCOL SECURITY (IPSEC) PADA JARINGAN BERBASIS NETWORK ADDRESS TRANSLATION (NAT)

ASNAWATI Dosen Fakultas Ilmu Komputer Universitas Dehasen Bengkulu

ABSTRAK Pada saat ini Penggunaan jaringan internet telah berkembang sangat pesat, hal ini mengakibatkan semakin berkurangnya alamat IP yang terdaftar di internet. Dengan metode Network Address Translation (NAT) yang telah banyak diimplementasikan pada Internet Service Provider (ISP), Small Office Home Office (SOHO) dan perusahaan-perusahan menengah ke atas, penggunaan dari alamat IP yang terdaftar di internet dapat diefisienkan. NAT berkerja dengan cara memodifikasi header IP agar jaringan pribadi yang memiliki alamat IP tidak terdaftar di jaringan internet dapat berkomunikasi dengan jaringan internet. Hal ini menjadi penghambat bagi penggunaan mekanisme keamanan pada layer IP, dalam hal ini adalah Internet security Protocol (IPsec), dimana IPsec bertujuan untuk menjaga keutuhan data dan kerahasiaan data pada layer IP. Inkompatibilitas antara mekanisme kerja IPsec dan NAT telah menjadi suatu halangan dalam pengembangan implementasi IPsec sebagai standar mekanisme keamanan di layer IP. Tulisan ini mengangkat masalah pengaruh interkoneksi IPsec pada jaringan yang mengimplementasikan NAT. Kata Kunci : NAT, IPsec, Keamanan layer IP

internet melalui satu atau lebih alamat IP yang

I. PENDAHULUAN Meningkatnya pengguna jaringan internet, menyebabkan penggunaan alamat IP (Internet

terdaftar di jaringan internet. Internet

Protocol

Security

(IPsec)

Protocol) yang terdaftar di jaringan internet juga

merupakan suatu set ekstensi protokol yang

meningkat.

dikembangkan oleh Internet Engineering Task

Untuk

mengatasi

permasalahan

tersebut, diperlukan suatu metode yang dapat

Force (IETF) sebagai standar

mengefisienkan penggunaan alamat IP, metode

sistem keamanan pada layer IP.

tersebut yaitu Network Address Translation (NAT).

Metode

Di antara NAT dan IPsec terdapat

telah

banyak

perbedaan mekanisme mendasar yang membuat

Internet

Service

perangkat IPsec di jaringan internet tidak dapat

Provider (ISP), Small Office Home Office

berkomunikasi dengan perangkat IPsec yang

(SOHO) dan perusahaan-perusahan menengah

berada dibelakang perangkat NAT, hal ini dapat

ke atas, yang memungkinkan jaringan pribadi

dilihat dari tujuan fundamental IPsec, yaitu

dengan alamat IP yang tidak terdaftar di jaringan

untuk menjaga kerahasiaan data dan keutuhan

internet dapat berkomunikasi dengan jaringan

data pada layer IP, sedangkan mekanisme dari

diimplementasikan

ini

mekanisme

pada

NAT justru melakukan modifikasi pada IP agar Analisa Interkoneksi INTERNET PROTOCOL SECURITY (IPSEC) Pada Jaringan Berbasis NETWORK ADDRESS TRANSLATION (NAT) (Asnawati) Media Infotama, Volume 4, No 8 Bln 9 Th 2009 76

jaringan pribadi yang berada di belakangnya

dimana IP bersifat unreliable, connectionless

dapat berkomunikasi dengan jaringan publik

dan datagram delivery service[13]. Unreliable

atau internet dan begitu pula sebaliknya.

berarti bahwa protokol IP tidak menjamin

akibat pengaruh interkoneksi IPsec dan NAT

datagram (Paket yang terdapat di dalam IP layer) yang dikirim pasti sampai ke tempat tujuan. Protokol IP hanya berusaha sebaik-

II.

TINJAUAN PUSTAKA

baiknya agar paket yang dikirim tersebut sampai

1.

Arsitektur TCP/IP

ke tujuan. Jika dalam perjalanan, paket tersebut

TCP/IP dikembangkan mengacu pada

mengalami

gangguan

seperti

jalur

putus,

model Open System Interconnection (OSI),

kongesti pada router atau target host down,

dimana, layer-layer yang terdapat pada TCP

protokol IP hanya bisa menginformasikan

tidak persis sama dengan layer-layer yang

kepada pengirim paket melalui protokol ICMP

terdapat pada model OSI. Terdapat empat layer

bahwa terjadi masalah dalam pengiriman paket

pada TCP/IP, yaitu: network interface, network,

IP. Jika diinginkan keandalan yang lebih baik,

transport dan application. Tiga layer pertama

keandalan itu harus disediakan oleh protokol

pada TCP/IP menyediakan physical standards,

yang berada di atas IP layer misalnya TCP dan

network interface, internetworking, dan fungsi

aplikasi pengguna.

transport, yang mengacu pada empat layer

Connectionless

berarti

bahwa

dalam

pertama pada model OSI. Tiga layer teratas dari

mengirim paket dari tempat asal ke tujuan, baik

model OSI direpresentasikan di model TCP/IP

pihak pengirim dan penerima paket IP sama

sebagai satu layer, yaitu application layer.

sekali tidak mengadakan perjanjian terlebih dahulu (handshake).

Applications

Application

Datagram delivery service berarti bahwa

Presentation SMTP

FTP

TELNET

DNS

HTTP

setiap paket yang dikirimkan tidak tergantung

Session

pada paket data yang lain. Akibatnya jalur yang Transport

TCP

ICMP Network

UDP

IGMP

IP

ditempuh oleh masing-mading paket data bisa jadi berbeda satu dengan yang lainnya.

ARP

RARP

Data Link Network Interface

Pada saat ini secara umum internet masih menggunakan

IP

version

pemakaiannya

sudah

4,

dimana

semakin

terbatas

Physical

Gambar 1 TCP/IP dan OSI model

mengingat jumlah pengguna internet yang berkembang dengan cepat. Hal ini disebabkan

2.

Internet Protocol Version 4 (IPv4)

oleh panjang alamat yang dimiliki IPv4 yaitu 32

IP merupakan suatu mekanisme transmisi

bit. Pada gambar 2 di bawah ini ditunjukkan

yang digunakan oleh protokol-protokol TCP/IP,

format header dari IPv4

Analisa Interkoneksi INTERNET PROTOCOL SECURITY (IPSEC) Pada Jaringan Berbasis NETWORK ADDRESS TRANSLATION (NAT) (Asnawati) Media Infotama, Volume 4, No 8 Bln 9 Th 2009 77

3.

beserta port TCP/UDP-nya. Secara bersamaan

Internet Protocol Security (Ipsec) IPsec

merupakan

suatu

set

ektensi

kedua

operasi

di

atas

mengacu

kepada

protokol dari Internet Protocol (IP) yang

Traditional NAT, yang menyediakan mekanisme

dikeluarkan oleh Internet Engineering Task

komunikasi antara jaringan lokal (alamat IP

Force (IETF). Istilah dari IPsec mengacu pada

tidak terdaftar di internet) dengan jaringan

suatu set dari mekanisme yang didesain untuk

global (alamat IP terdaftar di internet).

mengamankan trafik pada level IP atau pada

1. Dua Tipe NAT

network layer. Teknologi dari IPsec ini didasari

Dua tipe NAT adalah Statik dan Dinamik

oleh teknologi modern dari kriptografi, dimana

yang keduanya dapat digunakan secara

layanan keamanan yang disediakan antara lain

terpisah maupun bersamaan

yaitu:

a. Statik : Translasi Statik terjadi ketika

-

Confidentiality

-

:

Untuk

mejamin

kerahasiaan dimana sulit bagi pihak yang

ke

tidak berwenang untuk dapat melihat atau

(outside). Alamat lokal dan global

mengerti kecuali oleh penerima yang sah

dipetakan

bahwa data telah dikirimkan.

statik[15].

Integrity

: Untuk menjamin bahwa

data tidak berubah dalam perjalanan menuju tujuan. -

Authenticity

-

sebuah alamat lokal (inside) di petakan sebuah

satu

global/internet

lawan

satu

secara

b. Dinamik  NAT dengan Pool (kelompok) Translasi

: Untuk menjamin bahwa

alamat

Dinamik

terjadi

ketika

router NAT diset untuk memahami

data yang dikirimkan memang berasal dari

alamat

lokal

yang

harus

pengirim yang benar.

ditranslasikan, dan kelompok (pool)

Anti Reply

: Untuk menjamin bahwa

alamat global yang akan digunakan

transaksi hanya dilakukan sekali, kecuali

untuk terhubung ke internet. Proses

yang berwenang telah mengijinkan untuk

NAT Dinamik ini dapat memetakan

mengulang transaksi.

bebarapa kelompok alamat lokal ke beberapa kelompok alamat global[15].

4.

Network Address Translation (NAT) Network Address Translation merupakan

 NAT Overload Sejumlah

IP

lokal/internal

dapat

suatu metode dimana IP address dipetakan dari

ditranslasikan ke satu alamat IP

satu grup ke grup lainnya secara transparan bagi

global/internet.

sisi penerima. Network Address Port Translation

menghemat penggunakan alokasi IP

(NAPT) merupakan suatu metode dimana

global dari ISP. Pemakaian bersama

alamat-alamat jaringan beserta port TCP/UDP-

satu alamat IP ini menggunakan

nya ditranslasikan menjadi satu alamat jaringan

metoda

port

Hal

ini

multiplexing,

sangat

atau

Analisa Interkoneksi INTERNET PROTOCOL SECURITY (IPSEC) Pada Jaringan Berbasis NETWORK ADDRESS TRANSLATION (NAT) (Asnawati) Media Infotama, Volume 4, No 8 Bln 9 Th 2009 78

perubahan port ke outbound packet

diteruskan apabila alamat tersebut terdapat

yang disebut juga dengan metode

di dalam tabel NAT[15].

Network Address Port Translation (NAPT)[15].

Source address: 192.16.0.1 Source Port: 1026 Destination address: www.xxx.yyy.zza Destination Port: 80

Source address: aaa.bbb.ccc.ddd Source Port: 1724 Destination address: www.xxx.yyy.zzz Destination Port: 80 NAT WAN Address: aaa.bbb.ccc.ddd

1 Internal Host A 192.16.0.1

2. NAT Berdasarkan Translasi

Internal Address: Port

Berdasarkan cara translasinya NAT dibagi menjadi 3 bagian, yaitu:  Cone NAT Mentranslasikan alamat dan port internal dari host yang berada di belakang perangkat NAT ke sebuah alamat dan port eksternal, jadi semua trafik yangberasal dari alamat di luar perangkat NAT akan dapat diteruskan ke host yang berada di belakang NAT. Source address: 192.16.0.1 Source Port: 1026 Destination address: www.xxx.yyy.zza Destination Port: 80

Source address: aaa.bbb.ccc.ddd Source Port: 1724 Destination address: www.xxx.yyy.zzz Destination Port: 80 NAT 1

Internal Host A 192.16.0.1

WAN Address: aaa.bbb.ccc.ddd 2

External Host A www.xxx.yyy.zza

Mapping Table Internal Address: Port External Address:Port Source address: www.xxx.yyy.zza Source Port: 80 Destination address: 192.16.0.1 Destination Port: 1026

192.16.0.1:1026

aaa.bbb.ccc.ddd:1724

...

...

Source address: www.xxx.yyy.zza Source Port: 80 Destination address: aaa.bbb.ccc.ddd Destination Port: 1724 3 External Host B www.xxx.yyy.zzb

Source address: www.xxx.yyy.zzb Source Port: 88 Destination address: 192.16.0.1 Destination Port: 1026

External Host A www.xxx.yyy.zza

2 Mapping Table

Source address: www.xxx.yyy.zzb Source Port: 88 Destination address: aaa.bbb.ccc.ddd Destination Port: 1724

Gambar 2. Cone NAT Operation  Restricted NAT

Source address: www.xxx.yyy.zza Source Port: 80 Destination address: 192.16.0.1 Destination Port: 1026

External Address: Port

External Host

192.16.0.1:1026

aaa.bbb.ccc.ddd:1724

www.xxx.yyy.zza

...

...

...

Source address: www.xxx.yyy.zza Source Port: 80 Destination address: aaa.bbb.ccc.ddd Destination Port: 1724

3

Paket berasal dari external host yang tidak termasuk dalam tabel mapping akan di tolak

External Host B www.xxx.yyy.zzb

Source address: www.xxx.yyy.zzb Source Port: 88 Destination address: aaa.bbb.ccc.ddd Destination Port: 1724

Gambar 3. Restricted NAT Operation  Port Restricted Cone NAT Tipe ini menambah larangan dalam penerimaan paket yang dikirim oleh host di jaringan eksternal. Restricted Cone NAT hanya mengamati host jaringan luar, akan tetapi Port Restricted Cone NAT juga mengamati port yang digunakan untuk dapat melalui NAT, paket yang dikirimkan oleh host dari jaringan luar tidak hanya harus dikirim dari host yang menjadi tujuan komunikasi yang dimulai oleh host internal, tetapi juga harus dikirim melalui port yang menjadi tujuan komunikasi, jika tidak maka semua paket akan ditolak. Source address: 192.16.0.1 Source Port: 1026 Destination address: www.xxx.yyy.zza Destination Port: 80

Source address: aaa.bbb.ccc.ddd Source Port: 1724 Destination address: www.xxx.yyy.zzz Destination Port: 80 NAT

Mentranslasikan alamat dan port internal

External Host A www.xxx.yyy.zza

2 Mapping Table

dari host yang berada di belakang perangkat NAT ke suatu alamat dan port

WAN Address: aaa.bbb.ccc.ddd

1 Internal Host A 192.16.0.1

Internal Address: Port Source address: www.xxx.yyy.zza Source Port: 80 Destination address: 192.16.0.1 Destination Port: 1026

External Address: Port

External Host: Port

192.16.0.1:1026

aaa.bbb.ccc.ddd:1724

www.xxx.yyy.zza: 80

...

...

...

eksternal. Alamat tujuan dari paket yang

Source address: www.xxx.yyy.zza Source Port: 80 Destination address: aaa.bbb.ccc.ddd Destination Port: 1724

3

dikirim oleh host yang berada di belakang perangkat NAT akan disimpan dalam

Paket akan ditolak karena di dalam tabel mapping berisi host address, tapi tidak berisi source port 88

tabel NAT. Trafik yang berasal dari alamat di luar perangkat NAT hanya akan

Source address: www.xxx.yyy.zza Source Port: 88 Destination address: aaa.bbb.ccc.ddd Destination Port: 1724

Gambar 4. Port Restricted Cone NAT Operation  Symmetric NAT

Analisa Interkoneksi INTERNET PROTOCOL SECURITY (IPSEC) Pada Jaringan Berbasis NETWORK ADDRESS TRANSLATION (NAT) (Asnawati) Media Infotama, Volume 4, No 8 Bln 9 Th 2009 79

Mentranslasikan sebuah alamat dan port

perhitungannya.

internal yang sama ke suatu alamat eksternal

checksums dikalkulasi dan di cek pada sisi

dengan port yang berbeda-beda[15].

pengirim, hasilnya tidak sama ketika

Source address: 192.16.0.1 Source Port: 1026 Destination address: www.xxx.yyy.zza Destination Port: 80

Source address: aaa.bbb.ccc.ddd Source Port: 1724 Destination address: www.xxx.yyy.zza Destination Port: 80

Internal Host A 192.16.0.1

External Host A www.xxx.yyy.zza 2

ketika

melewati perangkat NAT atau NAT reverse.

NAT WAN Address: aaa.bbb.ccc.ddd

1

Sehingga

Mapping Table Internal Address: Port

External Address: Port

External Host

192.16.0.1:1026

aaa.bbb.ccc.ddd: 1724

www.xxx.yyy.zza

192.16.0.1:1026

Aaa.bbb.ccc.ddd: 1724

www.xxx.yyy.zzb

...

...

...

 IPsec ESP hanya dapat melalui NAT jika tidak

melibatkan

protokol

TCP/UDP

(IPsec pada mode tunnel atau IPsec External Host B www.xxx.yyy.zzb

Source address: 192.168.0.1 Source Port: 1026 Destination address: www.xxx.yyy.zzb Destination Port: 80

Sepasang internal address dan port yang sama dapat dimapping ke sepasang external host dan port yang berbeda, jika destination address dari paket berbeda

Source address: aaa.bbb.ccc.ddd Source Port: 6428 Destination address: www.xxx.yyy.zzb Destination Port: 80

dienkapsulasi oleh GRE), atau tidak ada pengecekan checksum, hal ini dapat dilakukan

Gambar 5. Symmetric NAT Operation

oleh

UDP

IPv4,

karena

pengecekan checksum pada UDP IPv4 bersifat opsional, sementara pada TCP

III.

ANALISA INTERKONEKSI

IPv4, checksum diperlukan.  Inkompatibilitas antara identifikasi alamat

1. Inkompatibilitas Inkompatibilitas dari NAT dan IPsec adalah

IKE dan NAT IKE menggunakan alamat

sebagai berikut:

sebagai identifikasi dalam pertukaran

 Inkompatibilitas antara protokol AH dan

kunci, modifikasi dari IP asal dan IP

NAT. Karena

mekanisme kerja

AH

tujuan oleh NAT atau NAT reverse, akan

mengikutsertakan IP asal dan IP tujuan

mengakibatkan

dalam,

identifikasi IKE dengan alamatnya di

NAT

maupun

NAT

reverse

berkerja dengan mengubah field address

ketidakcocokan

antara

dalam IP header.

pada IP header yang akan membuat

 Inkompatibilitas antara IKE source port

pengecekan terhadap integritas data oleh

dan NA(P)T Ketika terdapat banyak host

AH gagal karena data dianggap sudah

di belakang NAT menginisialisasi IKE SA

tidak valid lagi. Karena protokol ESP

menuju responder yang sama, suatu

tidak mengikutsertakan IP asal dan IP

mekanisme

tujuan dalam integritas datanya, maka

memperbolehkan

inkompatibilitas ini tidak terjadi terhadap

mendemultiplex paket IKE dari responder.

diperlukan

untuk NA(P)T

ESP.  Inkompatibilitas

antara

NAT

dan

2. Mekanisme Interkoneksi

TCP/UDP checksums TCP dan UDP

Di bawah ini merupakan mekanisme yang

checksums

harus dilakukan oleh IPsec agar dapat

memiliki

ketergantungan

terhadap IP asal dan IP tujuan melalui

berkomunikasi

penambahan dari pseudo header dalam

berada di belakang NAT[15].

dengan

perangkat

yang

Analisa Interkoneksi INTERNET PROTOCOL SECURITY (IPSEC) Pada Jaringan Berbasis NETWORK ADDRESS TRANSLATION (NAT) (Asnawati) Media Infotama, Volume 4, No 8 Bln 9 Th 2009 80

 Negosiasi IKE Fase 1: Deteksi NAT

dan pada paket ke-2 dan ke-3 pada

Selama IKE fase 1 berlangsung, terdapat

Aggressive Mode.

dua tipe dari deteksi NAT terjadi sebelum IKE Quick Mode (QM) dimulai, yaitu

Next Payload

deteksi dukungan IPsec terhadap NAT dan ada atau tidaknya keberadaan NAT pada

Reserved

Payload length

HASH of the address and port

Gambar 6. Format paket NAT-D

jalur komunikasi. Tipe payload dari NAT-D adalah 20, berikut ini 1. Deteksi dukungan IPsec terhadap NAT

adalah proses kalkulasi hash:

Deteksi dukungan IPsec terhadap NAT pada

HASH= HASH(CKY-I | CKY-R | IP | Port)

perangkat yang berada dibelakang NAT dilakukan dengan cara menukarkan vendor

Data di dalam hash yaitu 4 octets untuk

id payloads. Vendor id payload ini harus

IPv4, 16 octets untuk IPv6. Nomor port di

dikirimkan dan harus dapat diterima oleh

kodekan menjadi 2 octets. Payload pertama dari

kedua belah pihak. Isi dari vendor id ini

NAT-D berisi alamat IP dan port dari remote

berupa hash md5.

host dan NAT-D kedua berisi alamat IP dan port dari host lokal. Jika tidak terdapat NAT dikedua

2. Deteksi

Keberadaan

jalur

ujung host, NAT-D pertama pada remote host

komunikasi Untuk mendeteksi keberadaan

seharusnya cocok dengan NAT-D kedua pada

NAT pada jalur komunikasi, IPsec harus

host lokal. Jika pengecekan NAT-D tidak cocok,

dapat mengetahui apakah alamat IP dan port

hal ini berarti terdapat NAT diantara jalur

berubah selama proses komunikasi. Hal ini

komunikasi dan mulai mengirimkan NAT paket

dilakukan

keepalives.

oleh

NAT

IKE

pada

dengan

cara

mengirimkan hashes dari kedua belah pihak. Jika kedua host mengkalkulasi hashes

Di bawah ini merupakan contoh proses fase 1

tersebut dan hasilnya cocok, maka tidak ada

main mode dan aggressive mode dengan

perangkat NAT diantara mereka. Jika kedua

dukungan NAT.

host mengkalkulasi hashes tersebut dan

Initiator

hasilnya tidak sama, berarti telah terjadi

HDR, SA, VID

translasi alamat dan port sepanjang jalur komunikasi. Hashes ini dikirimkan sebagai suatu

rangkaian

payloads

dari

HDR, SA, VID HDR, KE, Ni, NAT-D, NAT-D HDR, KE, Nr, NAT-D, NAT-D

NAT

Discovery (NAT-D), setiap payload berisi

Responder

HDR*#, IDii, [CERT,] SIG_I HDR*#, IDir, [CERT,] SIG_R

satu hashses. Payload dari NAT-D termasuk dalam paket ke-3 dan ke-4 dari Main Mode,

Gambar 7. Fase 1 main mode dengan NAT

Analisa Interkoneksi INTERNET PROTOCOL SECURITY (IPSEC) Pada Jaringan Berbasis NETWORK ADDRESS TRANSLATION (NAT) (Asnawati) Media Infotama, Volume 4, No 8 Bln 9 Th 2009 81

Initiator

Initiator

Responder

Responder

UDP(500,500) HDR, SA, KE, Ni, IDii, VID

HDR, SA, KE, Ni, IDii, VID HDR, SA, KE, Nr, IDdir, [CERT, ], VID, NAT-D, NATD, SIG_R

UDP(500,X) HDR, SA, KE, Nr, IDir, [CERT, ], NAT-D, NAT-D, SIG_R

UDP(4500,4500) HDR*#, [CERT, ], NAT-D, NAT-D, SIG_I -->

HDR*#, [CERT, ], NAT-D, NAT-D, SIG_I

(4500, Y) HDR*#,

Gambar 8. Fase 1 aggressive mode dengan

Gambar 10. Mekanisme perubahan IKE port

NAT

UDP pada Aggressive Mode



Perubahan IKE port Untuk mengatasi inkompatibilitas antara asal port IKE

Berikut ini adalah format header IKE port 4500

dengan NA(P)T, yaitu dilakukan suatu mekanisme untuk memindahkan trafik

Source Port

Destination Port

Lenght

Checksum

IKE dari port 500 secepat mungkin, dalam

tugas

akhir

ini

port

Non-ESP Marker

yang

IKE header

digunakan yaitu port 4500. Dalam fase Gambar 11 Format header IKE port 4500

main mode, inisiator harus mengubah port ketika mengirimkan payload ID jika terdapat NAT pada jalur komunikasi. Inisiator harus mengirimkan port UDP asal dan tujuan ke 4500. Di bawah ini contoh

proses

dari

mekanisme

perubahan port.



NAT Keepalives NAT keepalives berfungsi untuk menjaga pemetaan dinamik selama koneksi antara dua peer. NAT keepalives merupakan paket UDP yang tidak terenkripsi dengan payload 1 byte. NAT keepalives dikirimkan ketika IPsec

Initiator

Responder

peer

tidak

mengirimkan

atau

menerima paket dalam waktu yang telah dispesifikasikan sebelumnya. Jarak waktu

UDP(500,500) HDR, SA, VID UDP(500,X) HDR, SA, VID UDP(500,500) HDR, KE, Ni, NAT-D, NAT-D

yang dapat digunakan yaitu antara 5 sampai 3600 detik.

UDP(500,X) HDR, KE, Nr, NAT-D, NAT-D UDP(4500,4500) HDR*#, IDii, [CERT, ] SIG_I UDP(4500,Y) HDR*#, IDir, [CERT, ] SIG_R

Source Port

Destination Port

Lenght

Checksum

0xFF

Gambar 9. Mekanisme perubahan IKE port UDP pada main mode

Gambar 12. Format paket NAT-keepalive 

Fase Quick Mode

Analisa Interkoneksi INTERNET PROTOCOL SECURITY (IPSEC) Pada Jaringan Berbasis NETWORK ADDRESS TRANSLATION (NAT) (Asnawati) Media Infotama, Volume 4, No 8 Bln 9 Th 2009 82

Setelah

fase

1,

responder

belakang NAT, maka dalam tugas akhir ini,

mengetahui apakah ada atau tidaknya perangkat

protokol IPsec yang digunakan adalah ESP

NAT diantara mereka. Penggunaan mekanisme

saja. Setelah paket IPsec dienkripsi oleh

untuk komunikasi IPsec dengan perangkat di

hardware maupun perangkat lunak enkripsi,

belakang NAT atau tidak tergantung pada quick

header UDP dan non-IKE marker (dengan

mode. Dalam quick mode kedua pihak juga

panjang 8 bytes) dimasukkan diantara

dapat saling mengirimkan alamat asli mereka

header IP yang asli dan header ESP.

dari paket IPsec agar dapat memperbaiki TCP/IP

Panjang keseluruhan dari protokol dan field

checksum field setelah tansformasi dari NAT.

checksum diubah untuk disamakan dengan

Alamat

modifikasinya.

asli

inisiator

tersebut

dan

dikirimkan

dengan

8

menggunakan NAT-OA (Original Address) payloads, pertama yang dikirimkan yaitu NAT-

16

31

Source Port

Destination Port

Length

Checksum

OA dari inisiator kemudian NAT-OA dari ESP Header

responder.

Gambar 15. Format header UDP enkapsulasi Next Payload

Reserved

Payload length

ID type

Reserved

Reserved

ESP

IPv4 (4 octets) or IPv6 (16 octets)

Gambar 13. Format paket NAT-OA

Di

bawah

ini

merupakan

contoh

proses

mekanisme quick mode dengan NAT-OA:

Initiator

Responder

HDR*, HASH(1), SA, Ni, [KE], [IDci, IDcr], [NATOai, NAT-OAr]

Keterangan:  Source port : 16 bit dari nomor port yang digunakan dalam pengiriman  Destination port : 16 bit dari nomor port yang digunakan dalam penerimaan  Length : panjang header UDP dan data dalam byte (minimum 8 byte)  Checksum : 16 bit 1’s complement dari header UDP, data UDP, dan IP peudo header.  ESP header : Header dari protokol ESP Port asal dan port tujuan harus sama

HDR*, HASH(2), SA, Nr, [KE], [IDci, IDcr ], [NATOAi, NAT-OAr] HDR*, HASH(3)

dengan port yang digunakan oleh trafik IKE, sedangkan UDP checksum dikirimkan dengan nilai nol dan si penerima tidak terpengaruh pada

Gambar 14. Mekanisme NAT-OA quick mode 

Proses Enkapsulasi UDP: Enkapsulasi ESP pada Transport Mode dan Tunnel Mode Karena secara fundamental protokol AH tidak dapat digunakan untuk interkoneksi

UDP checksum yang bernilai nol.

Prosedur enkapsulasi mode tunnel Langkah-langkah dari proses enkapsulasi mode tunnel dengan dukungan NAT, yaitu: a) Melakukan prosedur enkapsulasi ESP biasa,

IPsec dengan perangkat yang berada di Analisa Interkoneksi INTERNET PROTOCOL SECURITY (IPSEC) Pada Jaringan Berbasis NETWORK ADDRESS TRANSLATION (NAT) (Asnawati) Media Infotama, Volume 4, No 8 Bln 9 Th 2009 83

b) UDP header dimasukkan seperti gambar berikut,

Prosedur enkapsulasi mode transport a) Melakukan prosedur enkapsulasi biasa,

c) Panjang

total,

protokol,

dan

header

b) UDP header dimasukkan seperti gambar

checksum pada IP header yang baru di edit

berikut,

sehingga sesuai dengan paket IP yang

c) Panjang

dihasilkan.

total,

protokol,

dan

header

checksum pada IP header diedit sehingga

Original IP Header

TCP

sesuai dengan paket IP yang dihasilkan.

DATA

Original IP Header

Gambar 16. IP header

TCP

DATA

Gambar 18 IP header setelah ditambah ESP New Hdr (opt)

UDP Hdr

ESP Hdr

Original IP Header

TCP

DATA

ESP Trailer

dan UDP

ESP Auth

encrypted authenticated

Original IP Header

UDP Hdr

ESP Hdr

TCP

ESP Trailer

DATA

ESP Auth

encrypted

Gambar 17. IP header setelah ditambah ESP

authenticated

dan UDP mode tunnel Gambar 19. IP header setelah ditambah ESP Prosedur dekapsulasi mode tunnel

dan UDP mode transport

a) UDP header dihilangkan dari paket, b) Panjang

total,

protokol,

dan

header

Prosedur dekapsulasi mode transport

checksum pada IP header yang baru di edit

a) UDP header dihilangkan dari paket,

sehingga sesuai dengan paket IP yang

b) Panjang

dihasilkan,

total,

protokol,

dan

header

checksum pada IP header diedit sehingga

c) Melakukan prosedur dekapsulasi ESP biasa,

sesuai dengan paket IP yang dihasilkan,

d) Jika alamat asal IP telah di definisikan

c) Prosedur dekapsulasi ESP biasa dilakukan,

dalam

policy

untuk

paket

yang

terenkapsulasi dari peer, periksa apakah alamat asal dari paket tersebut sesuai dengan policy tersebut, e) Periksa apakah alamat asal yang digunakan untuk peer merupakan alamat IP yang digunakan, f) Melakukan proses NAT bagi paket tersebut, sehingga dapat diteruskan ke jaringan lokal.

d) Substrak alamat asal IP pada paket yang telah diterima dari checksum, e) Menambahkan

alamat

asal

IP

yang

sebenarnya yang diterima melalui IKE ke checksum (didapat dari NAT-OA), f) Menambahkan alamat

tujuan IP

yang

sebenarnya yang diterima melalui IKE ke checksum (didapat dari NAT-OA), g) Melakukan proses NAT bagi paket tersebut, sehingga dapat diteruskan ke host tujuan.

Analisa Interkoneksi INTERNET PROTOCOL SECURITY (IPSEC) Pada Jaringan Berbasis NETWORK ADDRESS TRANSLATION (NAT) (Asnawati) Media Infotama, Volume 4, No 8 Bln 9 Th 2009 84

IV. KESIMPULAN 

IPsec

dapat

DAFTAR PUSTAKA diimplementasikan

pada

jaringan berbasis NAT, dengan catatan, tidak diimplementasikannya protokol AH dan hanya mengimplementasikan protocol ESP.

Karena

mekanisme

kerja

AH

mengikutsertakan IP asal dan IP tujuan

6. RFC 768. Agustus 1998. Kent, S., dan Atkinson, R. Security Architecture for the Internet Protocol. RFC 2401. November 1998.

dalam, NAT maupun NAT reverse bekerja

Srisuresh, P., dan Holdrege, M. IP Network

dengan mengubah field address pada IP

Address Translator (NAT) Terminology and

header yang akan membuat pengecekan

Considerations. RFC 2663. Agustus 1999.

terhadap integritas data oleh AH gagal

Srisuresh, P., dan Egevang, K. Traditional IP

karena data dianggap sudah tidak valid lagi.

Network Address Translator (Traditional

Karena

NAT). RFC 3022. Januari 2001.

protokol

ESP

tidak

mengikutsertakan IP asal dan IP tujuan dalam

integritas

datanya,

maka

inkompatibilitas ini tidak terjadi terhadap ESP. 

Postel, J. User Datagram Protocol (UDP). STD

TCP

Holdrege, M., dan Srisuresh, P. Protocol Complications with the IP Network Address Translator. RFC 3027, Januari 2001. Luthfi, Muhammad. Pengamanan Komunikasi

dan

UDP

checksums

memiliki

Data Pada Jaringan Internet Menggunakan

ketergantungan terhadap IP asal dan IP

protokol IP Security.

tujuan melalui penambahan dari pseudo

Telekomunikasi STT Telkom. 2001.

header dalam perhitungannya. Sehingga

Perdana,

Indrajaya

Teknik Elektro

Pitra.

Analisa

ketika checksums dikalkulasi dan di cek

Implementasi

pada sisi pengirim, hasilnya tidak sama

Internet Protocol Security (IPsec) dengan

ketika melewati perangkat NAT atau NAT

Network Address Translation (NAT) pada

reverse. IPsec ESP hanya dapat melalui

Jaringan

NAT

Telekomunikasi STT Telkom. 2005.

jika

tidak

melibatkan

protokol

Mekanisme

dan

Komputer.

Interkoneksi

Teknik

Elektro

TCP/UDP (IPsec pada mode tunnel atau IPsec dienkapsulasi oleh GRE), atau tidak ada pengecekan checksum, hal ini dapat dilakukan

oleh

UDP

IPv4,

karena

pengecekan checksum pada UDP IPv4 bersifat opsional, sementara pada TCP IPv4, checksum diperlukan.

Analisa Interkoneksi INTERNET PROTOCOL SECURITY (IPSEC) Pada Jaringan Berbasis NETWORK ADDRESS TRANSLATION (NAT) (Asnawati) Media Infotama, Volume 4, No 8 Bln 9 Th 2009 85